Einde inhoudsopgave
De integratie van fiscale gegevens in het rijksbrede toezicht (FM nr. 155) 2018/6.6.1
6.6.1 Privacy-impact Assessment
M. Snippe, datum 20-10-2018
- Datum
20-10-2018
- Auteur
M. Snippe
- JCDI
JCDI:ADS376484:1
- Vakgebied(en)
Privacy / Algemeen
Fiscaal bestuursrecht / Algemeen
Belastingrecht algemeen / Algemeen
Voetnoten
Voetnoten
Kamerstukken II 2012/13, 26 643, nr. 282 (gewijzigde versie met herdruk).
Kamerstukken I 2012/13, 31 051, F. Toets model Privacy Impact Assessment (PIA) Rijksdienst bij 31051 ek-F (bijlage bij 31 051, F).
Het College bescherming persoonsgegevens bepaalde hierover ‘Een PIA is geen compliance toets, maar een instrument om in een zeer vroegtijdig stadium van de ontwikkeling van nieuwe producten, diensten en beleidsvoornemens aan allen die daar mee doende zijn en aan leidinggevenden de risico’s in relatie tot bescherming persoonsgegevens op overzichtelijke wijze in kaart te brengen.’ College bescherming persoonsgegevens, 5 maart 2013, kenmerk z2012-00847.
Voor het uitvoeren van een PIA verwijs ik naar Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679, dd 4 april 2017, WP248, Article 29 Data Protection Working Party.
De NOREA heeft in samenwerking met de Rijksoverheid (Audit Dienst Rijk en Autoriteit Persoonsgegevens) een handreiking gepubliceerd voor het uitvoeren van een PIA. Daarin is de betekenis van de PIA als volgt omschreven: ‘Een PIA legt in de eerste plaats de privacy risico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van deze privacy risico’s. Zie: handreiking Privacy Impact Assessment (PIA), introductie, handreiking en vragenlijst, Versie 1.2 - November 2015. Op basis van deze PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokken personen van wie gegevens worden verwerkt wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen daaraan voor hen verbonden zijn.’, Privacy Impact A##essment (PIA), introductie, handreiking en vragenlijst, versie 1.2, 2015, p. 7.
De rijksoverheid is (vanaf 1 september 2013) verplicht om bij nieuwe regelgeving met mogelijke privacyaspecten, een zogenaamde Privacy-Impact Assessment uit te voeren. Deze eis vloeit voort uit een regeerakkoord. 1Voor het uitvoeren daarvan heeft het kabinet een toetsmodel vastgesteld dat toegepast moet worden.2 De PIA is erop gericht in een vroeg stadium de privacy risico’s op een gestructureerde en heldere manier in kaart te brengen. De toets ziet niet op het functioneren en eventuele naleving van de privacywet- en regelgeving. Het is geen compliance toets.3 Voor de rijksoverheid is dit middel inmiddels standaard voorgeschreven bij de ontwikkeling van nieuwe wet- en regelgeving die privacyaspecten kan raken. De PIA krijgt in de toekomst een bredere toepassing. De Algemene Verordening op de Gegevensbescherming kan de toets namelijk ook voor andere organisaties voorschrijven (zie par. 6.6.2).4 Die hebben dan de verantwoordelijkheid om van tevoren de risico’s voor het verwerken van persoonsgegevens vast te stellen. De PIA kan hiervoor als tool worden gebruikt.5 Ter illustratie noem ik een recente toepassing van de PIA tijdens de parlementaire behandeling voor het creëren van een grondslag voor informatie-uitwisseling. Illustratief noem ik de woorden van de staatssecretaris van Financiën in de memorie van toelichting: met ‘de PIA is gekeken naar de noodzaak van de gegevensverwerking en zijn op gestructureerde wijze de implicaties van de maatregel in kaart gebracht.’6 Vervolgens geeft de bewindsman de implicaties van de voorgestelde wetswijziging weer voor de privacy. Die zien onder andere op de beoordeling van de proportionaliteit en de subsidiariteit. Een collectieve belangenafweging derhalve bij aanvang van een wettelijke regeling tot gegevensverstrekking
De beperking ligt in de reikwijdte van het bepalen van de impact voor de bescherming van persoonsgegevens. Daarnaast geeft een PIA alleen de impact op het moment van wetgeving. De huidige Wbp (en vanaf 25 mei 2018 de AVG) is bepalend. Het begrip privacy is echter ruimer dan alleen persoonsgegevens en kan ook van invloed zijn op zuivere objectgegevens.
Een PIA geeft bij aanvang – en alleen van nieuwe wettelijke verplichtingen en samenwerkingsverbanden – een beoordeling. Een PIA geeft echter geen invulling aan de individuele gegevensverstrekking door de Belastingdienst aan andere bestuursorganen anders dan het scheppen van de waarborgen voor het kader waarbinnen dat bij aanvang moet plaatsvinden.